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DISPOSITIF ET PROCEDE DE DETECTION ET DE PREVENTION 
□'INTRUSION DANS UN RESEAU INFORMATIQUE 

La presente invention a pour objet un dispositif et un precede 
5 de detection et de prevention d'intrusion dans un reseau informatique 
permettant de prevenir les intrusions en ies detectant et en ies 
bloquant avant penetration du reseau. 

Dans un reseau informatique, la disponibilite des donnees et 
leur transmission dans un contexte de securite maximum est un 

10 probleme constant. La complexity grandissante des attaques necessite 
une protection de plus en plus sophistiquee et intelligente du reseau. 
II faut en effet pouvoir verifier le format et la destination des paquets 
qui transitent, verifier leur contenu, memoriser rhistorique des 
sessions pour en faire i'analyse sur une certaine duree, distinguer 

15 entre les vrais et ies fausses alarmes remontees, et surtout reagir a 
I'attaque avant que celle-ci n'ait trop penetre au coeur du reseau. 

Parmi les solutions que I'on retrouve dans I'etat de la technique, 
on connait celles qui se basent sur le filtrage de paquets mais qui 
procurent un faible niveau de securite car seuis les en-tetes de paquets 

20 sont verifies. Le filtrage par proxy est une autre solution dans laquelle 
des f iltres de contenu sont utilises par exemple pour bloquer faeces a 
des sites web et filtrer les messages electroniques et les pieces jointes. 
Ces solutions ne sont pas con^ues pour bloquer les attaques et causent 
de tres grosses pertes de performance. En outre, elles ne respectent 

25 pas ('architecture du modeie client serveur et necessitent un proxy par 
port de communication. On connait egalement une methode 
d'inspection de I'etat des connexions dans le but de permettre ou de 
refuser le trafic et d'obtenir de plus grandes performances, basee sur 
une table d'etat mais qui la encore ignore les attaques. Cest le 

3 0 principe du pare-feu reseau, avec une variante correspondant au pare- 
feu applicatif dans lequel on ne se contente pas de verifier I'etat des 
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connexions mais egaiement le contenu. 

D'autres systemes complexes existent tel que les systemes de 
detection d'intrusion ou IDS (pour Intrusion Detection System), qui 
s'appuient sur une base de donnees de signatures d'attaques connues. 
5 Cette base doit etre mise a jour regulierement. Ces systemes 
presentent un inconvenient majeur qui est qu'ils ne bloquent pas 
I'attaque mais la detectent une fois qu'elle est passee. II est done bien 
souvent trop tard pour reagir pour des reseaux vulnerables qui 
peuvent etre compromis en quelque secondes. 
10 On connait aussi des systemes de prevention d'intrusion ou IPS 

(pour Intrusion Prevention System), qui sont en quelque sorte des IDS 
places en coupure de reseau et permettant de detecter et de bloquer 
les attaques. Ces systemes utilisent des procedes de detection plus 
elabores, qui combinent generalement une approche par scenario et 
15 une approche comportementale dans le but de limiter les fausses 
alarmes (generees en abondance par les IDS) et de detecter et bloquer 
les attaques, meme nouvelles. En reaction a une telle attaque, ces 
systemes reconfigurent le pare-feu reseau en consequence. 
Cependant, un des inconvenients de ces systemes est qu'ils ne peuvent 
20 detecter les attaques reparties sur plusieurs segments du reseau 
puisqu'ils operent sur une seule branche. Pour pouvoir proteger 
plusieurs branches, il faut plusieurs de ces systemes, ce qui complique 
considerablement leur gestion. Cette complexity est une source de 
faille de securite supplemental, a cote du cout eleve (achat, 
25 I'installation et maintenance). 

Par ailleurs, quels que soient les systemes de 1'etat de la 
technique couramment utilises, les politiques de filtrage consistent 
essentiellement dans le blocage ou I'autorisation de certains numeros 
de port. Or, de plus en plus d'applications communiquent sur des ports 
3 0 dynamiques ou variables, et certains applicatifs arrivent meme sur le 
marche avec comme objectif de contourner le pare-feu. La 
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consequence est que si Ton ne peut garantir qu f une application 
donnee utilise un port donne, on ne peut pas appliquer un filtrage 
fige base sur une association figee application-port de communication. 
En outre, le fait que les applications utilisent generalement le canal" 
5 prealabiement ouvert pour communiquer avec d'autres protocoles, et 
qu ; il est necessaire de connaitre avec precision le fonctionnement d'un 
protocole pour trouver le port de communication a ouvrir ou a fermer, 
rend la notion d'autorisation de port pour une application peu fiable. 
II existe done un besoin d'une solution fiable qui permette de 

io pallier les inconvenients precites, notamment concernant la protection 
d'un reseau comprenant de nombreux segments, et dans un contexte 
ou les attaques utilisent des ports de communication variables. 

C'est done I'objet de ['invention que de pallier ces 
inconvenients. A cette fin, I'invention se rapporte selon un premier 

is aspect a un procede de detection et de prevention d'intrusion dans un 
reseau informatique comprenant une etape de detection des 
connexions au niveau du point central et avant chaque branche dudit 
reseau, et une etape de filtrage selectif desdites connexions par 
reconnaissance automatique du protocole accedant, independamment 

2 0 du port de communication utilise par ledit protocole. 

L'invention se rapporte selon un deuxieme aspect a un dispositif 
de detection et de prevention d'intrusion dans un reseau 
informatique, integre dans un pare-feu situe sur le reseau, 
permettant ainsi de bloquer les attaques avant penetration sur ledit 

25 reseau avec une reaction instantanee (pas de delai entre emission 
d'une alerte et mise en pratique des ordres de reinitialisation). Un tel 
dispositif integre au pare-feu protege I'ensemble des segments du 
reseau, sans qu'il soit necessaire d'installer des dispositifs specifiques 
sur chacun des segments. 

so Dans une variante de mise en ceuvre du procede, le filtrage 

selectif des connexions, apres que ledit protocole accedant a ete 
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automatiquement reconnu, consiste a verifier en permanence la 
conformite des communications circulant sur une connexion donnee 
au dit protocole, pour delivrer une autorisation dynamique pour les 
communications resultant du fonctionnement normal du protocole et 
5 delivrer un refus dynamique pour les communications resultant d'un 
fonctionnement anormal du protocole. Plus precisement, tant que le 
protocole accedant d'une connexion n'est pas reconnu, les donnees 
sont acceptees mais non transmises. Si le nombre de paquets de 
donnees acceptees mais non transmises depasse un certain seuil, ou si 
10 les donnees sont acceptees mais non transmises depuis un certain 
temps depassant un certain seuil, alors la connexion est non autorisee. 

Le dispositif comprend un moyen de prevention des intrusions 
par analyse des communications, integre dans le pare-feu reseau, sur 
le point central et avant chaque branche du dit reseau, ledit moyen de 
15 prevention des intrusions comprenant un moyen de filtrage selectif 
des communications par reconnaissance automatique du protocole 
accedant, independamment du port de communication utilise par le 
protocole. 

Dans une variante de realisation, le moyen de filtrage selectif 
20 comprend au moins un module autonome d'analyse d'au moins un 
protocole de communication donne. Au moins un des modules 
autonomes comprend plus precisement une unite de reconnaissance 
automatique d'un protocole de communication donne, et une unite 
de verification de la conformite des communications circulant sur une 

2 5 connexion donnee au dit protocole, et est concu pour delivrer une 

autorisation dynamique pour les communications resultant du 
fonctionnement normal du protocole et delivrer un refus dynamique 
pour les communications resultant d'un fonctionnement anormal du 
protocole. 

3 0 Un tel dispositif et un tel procede permettent avantageusement 

de bloquer les attaques connues comme les attaques inconnues. 
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Dans une variante de realisation, une interface permet a 
Putiiisateur de renseigner les criteres definissant la politique de 
filtrage, en les specifiant en langage nature!. En outre, le dispositif 
comporte un moyen de traitement statistique des informations de 
5 connexion, et un moyen de stockage de ces informations et des 
informations traitees (journaux d'audit), dans le but de simplifier la 
gestion uiterieure de ces informations. 

D'autres caracteristiques et avantages de ('invention 
apparaitront plus clairement et de maniere complete a la lecture de la 
10 description ci-apres des variantes preferees de mise en ceuvre du 
procede et de realisation du dispositif, lesquelles sont donnees a titre 
d'exemples non iimitatifs et en reference aux dessins annexes 
suivants : 

figure 1 : represente schematiquement un reseau de 
15 type ciassique interconnects a Internet, 

figure 2 : represente les details fonctionnels d'un pa re- 
feu integrant le dispositif seion ('invention, 
figure 3 : represente schematiquement les details 
fonctionnels d'un analyseur de protocole du dispositif 
2 0 selon ('invention, 

figure 4 : represente schematiquement un module 
autonome d'analyse de protocole de communication du 
dispositif selon ['invention, 

figure 5 : represente schematiquement le procede de 

2 5 detection et prevention d'intrusions selon I'invention 

La figure 1 represente schematiquement un reseau de type 
ciassique interconnects a Internet, tel qu'on le conn ait dans I'etat de 
la technique. Dans cette configuration, on retrouve schematiquement 
trois zones au centre desquelles se trouve le pa re-feu 1. 

3 0 La premiere zone est une zone externe comme I'lnternet par 

exemple, referencee 2 sur la figure 1. 
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La seconde zone, referencee 3, communement appelee DMZ 
pour DeMilitarised Zone, est dotee d'une securisation intermediaire 
entre i'exterieur et I'interieur. Dans cette zone, on peut trouver un ou 
plusieurs serveurs 4. 
5 La troisieme zone est !a zone interne a proprement parler, qui 

peut etre divisee en plusieurs segments. Le premier segment 5 
correspond a la partie cablee du reseau interne et comprend 
eventuellement un ou plusieurs serveurs 6. Les segments 7 et 8 
correspondent respectivement a deux zones locales 9 et 10, chacune 
10 pouvant comprendre un ou plusieurs postes de travail respectivement 
references 11 et 12. 

Le dispositif et le procede de I'invention tirent partie de la 
position centrale du pare-feu dans ce type de configuration. 

La figure 2 represente les details fonctionnels d'un pare-feu 
15 integrant le dispositif selon I'invention. Ainsi, a I'interieur du pare-feu 
1, on retrouve les interfaces reseau 13 par lesquelles arrivent et 
repartent les donnees de communication, d'une part en provenance 
des ou vers les utilisateurs internes (a I'interieur d'une entreprise par 
exemple) et les utilisateurs externes (a I'exterieur de I'entreprise par 
20 exemple), et reperes par la reference 14, et d'autre part en 
provenance des et vers les ressources telles que les systemes 
d'information, les serveurs d'entreprise, et d'une facon generale toute 
infrastructure client des serveurs d'entreprise, reperes par la reference 
15. 

25 Par le terme utilisateur, externe ou interne, on entend non 

seulement les personnes physiques, mais egalement les applications 
par exemple, et, d'une facon generale, les emetteurs et/ou recepteurs 
d'information qui communiquent sur le reseau. 

En amont des interfaces reseau 13, et, eventuellement, mais pas 

3 0 necessairement, a I'interieur du pare-feu 1, les communications 
transient par un module 16 de type NAT (Network Address 
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Translation) qui met en ceuvre notamment la traduction d'adresses 
pour le routage, puis par un module 17 de type VPN (Virtual Private 
Network) qui met en oeuvre notamment un chiffrage et dechiffrage 
des donnees. 

5 Les donnees transitent enfin par le module 18 de detection et 

de prevention d'intrusion dans le reseau. Ce module 18 met en oeuvre 
le procede de ('invention qui sera explique en detail plus loin, ii met 
en ceuvre ia politique de filtrage specifiee par I'utilisateur (ou 
administrates) 190, par le biais d'une interface d'administration 19 

10 permettant d'entrer les criteres definissant cette politique de filtrage 
en langage naturel. La saisie de ces criteres pourra ainsi se faire par 
exemple en specifiant le nom d'un protocole, plutot que les ports 
probables utilises par ce protocole. Cest bien cette politique de 
filtrage qui sert de base a I'analyse protocolaire mise en oeuvre dans le 

15 procede de I'invention. 

Par ailleurs, le module de detection et de prevention d'intrusion 
dans le reseau genere des alarmes traitees par le module 20. Enfin, les 
informations de connexion qui transitent dans ce pare-feu, s'ont' 
transmises par le module 18 a un moyen 21 de type « journal 
20 d'audit », c'est-a-dire de stockage de I'historique des connexions, apres 
un eventuel traitement. 

La figure 3 represente schematiquement les details fonctionnels 
d'un analyseur de protocole du dispositif selon I'invention, integre 
dans le module 18 de la figure 2. Sur cette figure 3, on retrouve done 
25 un module d'analyse 23 qui comprend un ou plusieurs modules 24, 25, 
26 d'analyse specifique d'un protocole donne. Chacun de ces modules 
est relie a un moyen de stockage 27 dans lequel se trouvent stockees 
les donnees qui vont permettre de verifier la conformite a chacun des 
protocoles. Bien evidemment, le choix d'un unique moyen de stockage 
3 0 27 pour I'ensemble des donnees de tous les protocoles traites, n'est 
pas limitatif de I'invention. On peut en effet envisager de stocker 
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separement les donnees respectives de chaque protocole. Ce module 
23 d'analyse recoit en entree les criteres de fiitrage qui sont specifies 
par I'utilisateur via I'interface d'administration 19, et qui sont 
eventuellement stockes dans un moyen de stockage 22. Ces criteres 
5 definissent notamment les modules effectivement actives, et ceux qui 
sont desactives. Chacun des modules actives 24, 25, 26 regoit en entree 
les donnees de connexion a analyser et, dans un premier temps, 
determine si ces donnees suivent le protocole pour lequel il a ete 
predefini. Si aucun module 24, 25, 26 ne reconnait le protocole, alors 
10 la connexion est consideree comme non analysee. 

La figure 4 represente schematiquement un module autonome 
d'anaiyse de protocole de communication du dispositif selon 
('invention. Ce module 24 comprend un sous-module 28 de 
reconnaissance automatique du protocole, et un sous-module 29 de 
15 verification de conformite au protocole. Chacun des modules 24, 25, 
26 de la figure 3 est, dans sa structure et dans sa fonction, identique. 
Chacun de ces modules est autonome en ce qu'il peut etre ajoute a ou 
retire de I'ensemble sans bouleversement, en fonction des besoins 
(module de type « plugins »). 
20 Le dispositif de ['invention, decrit dans les figures 1 a 4, met en 

oeuvre le procede de I'invention qui va maintenant etre expiique plus 
en detail, dans une variante de mise en oeuvre, et en reference a la 
figure 5. 

Si la couverture des protocoles est complete (dans l'ideal, un 
25 module autonome d'anaiyse par protocole possible), lorsqu'une 
nouvelle connexion se presente elle est automatiquement rattachee a 
un module d'anaiyse. On peut egalement utiliser, en plus des modules 
specifiques chacun dedie a un protocole donne, un module de type 
generique. Ce module permet de suivre le trafic pour lequel aucun des 
3 0 autres modules ne reconnait le protocole. Ceci est particulierement 
utile dans le cas notamment des attaques du type « data evasion ». 
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Tant que ('identification du protocole n'est pas realisee, les 
donnees sont acceptees mais non transmises. A chaque fois qu'une 
nouvelle information arrive (reference 60), les fonctions de detection 
des differents modules autonomes sont executees en sequence 
5 (reference 65), module apres module. Lors de chaque execution, la 
fonction de detection retourne son avis sur le paquet de donnees 
(reference 70). Cet avis peut etre de trois types : 

a) protocole detecte; le module a done reconnu 
automatiquement le protocole et sera charge de I'analyser, 
10 b) protocole non detecte, module generique present et active ; 

le module generique sera charge de ('analyse 

c) protocole non detecte, module generique absent ou present 
mais non active 

d) information insuffisante dans le paquet de donnees pour 
15 detecter. 

Lorsque la fonction de detection repond par a) ou b),le module 
specifique ou le module generique d'analyse s'attache a la connexion 
(reference 75). 

En particulier, dans le cas b) ou le module generique mentionne 
20 plus haut est present et active, une connexion basee sur un protocole 
qui n'est reconnu par aucun des autres modules specifiques est 
automatiquement attachee a ce module generique (a I'etape 
referencee 75). 

Dans le cas c), si ce module generique n'est pas present, ou est 
25 present mais non active, les donnees sont acceptees mais non 
transmises (reference 80). Si tous les modules repondent par c) ou d), 
alors la connexion est consideree comme non analysee, elle n'est done 
pas autorisee 

Par ailleurs, au-dela d'un certain seuil de paquets de donnees 
3 0 non identifies, et/ou au-dela d'un certain temps de tentatives 
d'identifications sans succes, ce qui est determine a I'etape referencee 
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85, ['evaluation se termine et un refus dynamique est genere 
(reference 90). Si le ou ies seuils ne sont pas depasses, devaluation se 
termine et la et la connexion est consideree comme non analysee 
(reference 95). Ces seuils de nombre de paquet de donnees et/ou de 
5 temps peuvent etre predefinis et fixes dans le dispositif, ou 
parametrables par exemple par i'intermediaire de I'interface 19 
d'administration du dispositif. lis peuvent etre eventuellement calcules 
de fagon dynamique. 

Lorsque un module specifique est attache a la connexion (a 

io I'etape referencee 75), celui-ci va verifier que Ies informations qui 
circulent sur ladite connexion correspondent bien au protocole 
detecte (reference 110). II s'agit done d'une verification de la 
conformite des donnees du protocole et une verification de 
I'utilisation qui est faite de ce protocole, ces verifications portant sur la 

15 grammaire et la syntaxe Ces verifications peuvent s'appuyer sur Ies 
standards qui definissent ces protocoles et leurs usages tels que Ies RFC 
(Request for Comments) bien connus de I'homme du metier. 

Lorsque le module generique est attache a la connexion (a 
I'etape referencee 75), ce dernier ne verifie pas que Ies informations 

20 circulant sur ladite connexion correspondent bien au protocole 
detecte. En effet, par definition, le rattachement au module 
generique signifie qu'aucun protocole n'a ete reconnu par Ies autres 
modules. Dans ce cas, le module generique verifie la coherence des 
paquets. Cette verification de coherence peut porter par exemple sur 

25 le sequencement et Ies retransmissions, Dans ces cas, on verifie 
notamment que deux paquets de donnees successivement analyses 
sont strictement identiques ou non (reference 110). La stricte identite 
permet de verifier qu'un paquet, sense etre une retransmission, est 
bien la retransmission du precedent (attaque par « data evasion »). Si 

30 la retransmission attendue n'en est pas une, le paquet est bloque et la 
connexion est refusee ou terminee. 
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On voit done que si la verification de conformite a un protocole 
donne prealablement reconnu ou la verification generique (reference 
110), renvoient une reponse negative, ce qui est determine a I'etape 
referencee 120, devaluation se termine et un refus dynamique est 
5 genere (reference 90). Sinon, une autorisation dynamique est delivree 
(reference 125), et la boucle d'analyse multicouche se poursuit. 

Si un module specifique, et non le module generique, est 
attache, ce qui est determine a I'etape 100, le module associe au 
protocole immediatement hierarchiquement superieur au module 
o precedemment attache, est automatiquement attache (a I'etape 
referencee 105) pour verification ulterieure de conformite (a I'etape 
reference 110). Sinon, le module generique reste attache et la boucle 
se poursuit par une verification generique a I'etape referencee 110. 

Chaque communication circulant sur une connexion est done 
5 soit dynamiquement autorisee, soit dynamiquement refusee, selon 
que le module de verification protocolaire attache a la connexion 
determine que la communication resulte du fonctionnement normal 
ou anormal du protocole. 

Ainsi chaque module recoit systematiquement la nouvelle 
■) connexion en entree pour une detection de protocole dans un premier 
temps. Par consequent, cette detection qui, si elle est reussie, sera 
suivie d'une analyse du protocole, ne depend pas du port de 
communication utilise par ledit protocole, comme e'est generalement 
le cas dans I'etat de la technique. De cette facon, on s'affranchit des 
; problemes lies a I'utilisation de ports dynamiques par certaines 
applications. 

Par ailleurs, la verification du protocole, une fois reconnu, 
permet de s'affranchir des problemes lies aux applications qui utilisent 
un canal ouvert pour communiquer avec d'autres protocoles. En effet, 
dans ce dernier cas, une alarme sera generee car le module sense 
verifier un protocole donne detectera, a un moment ou a un autre, 
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dans un paquet de donnees des informations non conformes au 
protocole initial. 

En outre, chaque module ainsi congu permet de delivrer une 
autorisation dynamique des connexions resultant du fonctionnement 
5 normal du protocole. II permet en effet d'obtenir les informations 
necessaires a I'ouverture dynamique des connexions induites par le 
protocole, une connexion principale pouvant en effet induire une ou 
plusieurs connexions secondaires (ou induites). Dans ce cas, il est 
indispensable que toutes les connexions secondaires soient bien 

10 rattachees a I'autorisation de la connexion principale. Seul un module 
d'analyse en profondeur et avec precision du fonctionnement du 
protocole peut connaTtre precisement les ports de communication a 
ouvrir et a fermer. 

L'analyse reseau mise en oeuvre par ces modules est une analyse 

15 multicouches : a chaque etape, le module courant analyse la partie du 
paquet de donnees correspondant au protocole pour lequel il est 
concu, et transmet I'autre partie au module d'analyse du protocole 
superieur dans la hierarchie (par exemple : Ethernet, puis IP, puis TCP, 
puis HTTP). 

20 Ainsi, l'analyse basee sur la verification de la conformite du 

protocole et de son utilisation, definis par les standards tels que les 
RFC, permet entre autre de prevenir non seulement les attaques 
connues mais egalement les attaques inconnues. Tout trafic qui ne 
satisfait pas aux specifications de ces standards sera bloque en temps 

25 reel. En outre, ies modules de reconnaissance automatique et 
d'analyse de protocole etant autonomes, ils peuvent etre ajoutes ou 
retires simplement, sans bouleverser le dispositif. Lorsqu'ils sont 
presents, ils peuvent aussi etre actives ou desactives simplement, en 
fonction de la politique de filtrage specifiee par I'utilisateur. Ainsi, 

3 0 chaque nouveile faille de securite pourra etre comblee aisement. Ces 
agents intelligents que constituent les modules cle reconnaissance 
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automatique et d'analyse de protocole, analysent en permanence les 
flux de trafic et s'attachent dynamiquement lorsqu'iis reconnaissent le 
protocole, independamment du port de communication utilise. 

L'ensemble de la description ci-dessus est donne a titre 
d'exemple, et est non limitatif de I'invention. En particulier, le pare- 
feu decrit ci-dessus pourra integrer un tres grand nombre d'autres 
modules fonctionnels en sus de ceux mentionnes ici. On pensera 
notamment a I'utilisation de proxies, bien connus de I'homme du 
metier. 

De merne, le fait que la description ci-dessus presente 3 modules 
24, 25, 26, de reconnaissance automatique et de verification d'un 
protocole donne, n'est pas limitatif de I'invention. Le nombre total de 
tels modules depend du nombre de protocoles geres (HTTP, FTP, H323, 
DNS, RIP, ...). Par ailleurs, un module de type generique tel que decrit 
plus haut peut etre adjoint ou non, en fonction des besoins. 
Egalement, com me decrit plus haut, chaque modules, specifiques ou 
generique si ce dernier est present, peut etre simplement active ou 
desactive en fonction des besoins. Enfin, la verification effectuee par 
le module generique, notamment concernant le sequencement et la 
retransmission corrects des paquets (en particulier verification de la 
stricte identite de deux paquets de donnees successivement analyses), 
n'est qu'un exemple de verification qui peut etre effectuee par un tel 
module. Tout autre verification non liee a la conformite a un 
protocole donne, entre dans la categorie des verifications generiques 
et pourra etre integree dans ledit module generique. 
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REVINDICATIONS 

1. Procede de detection et de prevention d'intrusions dans un 
5 reseau informatique comportant un pare feu, caracterise en ce 

qu'il comprend une etape de detection des connexions au 
niveau du point centra! et avant chaque branche dudit reseau, 
et une etape de filtrage selectif desdites connexions, ledit 
filtrage selectif desdites connexions comprenant une etape de 
10 reconnaissance automatique du protocole accedant, 

independamment du port de communication utilise par ledit 
protocole. 

2. Procede selon la revendication 1, caracterise en ce que ledit 
filtrage selectif desdites connexions, apres que ledit protocole 

is accedant a ete automatiquement reconnu, comprend une etape 

de verification de la conformite de chaque communication 
circulant sur une connexion donnee audit protocole, pour 
delivrer une autorisation dynamique pour les communications 
resultant du fonctionnement normal du protocole et delivrer un 

20 refus dynamique pour les communications resultant d'un 

fonctionnement anormal du protocole. 

3. Procede selon la revendication 2, caracterise en ce que ladite 
verification de conformite se fait couche par couche, par analyse 
protocolaire successive de chaque partie du paquet de donnees 

25 circulant sur la connexion correspondant a un protocole donne, 

du protocole ie plus bas au protocole le plus haut. 

4. Procede selon Tune quelconque des revendications 2 et 3, 
caracterise en ce que, chaque connexion principale autorisee 
pouvant induire une ou plusieurs connexions secondaires, ladite 

3 0 verification de conformite detecte les informations necessaires a 

I'ouverture desdites connexions secondaires et rattache lesdites 
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connexions secondares a i'autorisation de la connexion ladite 
connexion principale. 

5. Procede selon I'une quelconque des revendications 1 a 4, 
caracterise en ce que, tant que le protocole accedant d'une 
connexion n'est pas reconnu, les donnees sont acceptees mais 
non transmises. 

6. Procede selon la revendication 5, caracterise en ce que, si le 
nombre de paquets de donnees acceptees mais non transmises 
depasse un certain seuil, ou si les donnees sont acceptees mais 
non transmises depuis un temps depassant un certain seuil, alors 
la connexion est consideree comme non analysee. 

7. Procede selon I'une quelconque des revendications 5 et 6, 
caracterise en ce que, si les donnees sont acceptees mais non 
transmises depuis un temps depassant un certain seuil, alors la 
connexion est consideree comme non analysee. 

8. Procede selon I'une quelconque des revendications 2 a 7 
caracterise en ce, lorsque le protocole accedant d'une connexion 
n'est pas automatiquement reconnu, ladite etape de 
verification de la conformite de chaque communication 
circulant sur une connexion donnee audit protocole est 
remplacee par une verification generique de la coherence des 
paquets de donnees. 

9. Dispositif de detection et de prevention d'intrusions dans un 
reseau informatique, comportant un pare feu, caracterise en ce 
qu'il comprend un moyen de prevention des intrusions par 
detection des connexions, directement integre dans ledit pare 
feu sur le point central et avant chaque branche dudit reseau, 
ledit moyen de prevention des intrusions comprenant un moyen 
de filtrage selectif desdites connexions par reconnaissance 
automatique du protocole accedant, independamment du port 
de communication utilise par ledit protocole. 
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lO.Dispositif selon la revendication 9, caracterise en ce que ledit 
moyen de filtrage selectif comprend au moins un module 
autonome d'analyse d'au moins un protocole de communication 
donne. 

1 1. Dispositif selon la revendication 10, caracterise en ce que au 
moins un desdits modules autonomes comprend : 

une unite de reconnaissance automatique d'un 

protocole de communication donne, 

une unite de verification de la conformite des 

communication circulant sur une connexion donnee 

audit protocole , 
et en ce que ledit module autonome delivre une autorisation 
dynamique pour les communications resultant du 
fonctionnement normal du protocole, et delivre un refus 
dynamique pour les communications resultant d'un 
fonctionnement anormal du protocole. 

12. Dispositif selon I'une quelconque des revendications 10 et 11, 
caracterise en ce chaque module analyse la partie du paquet de 
donnees correspondant au protocole pour lequel il est concu, et 
transmet I'autre partie au module d'analyse du protocole 
superieur. 

13. Dispositif selon I'une quelconque des revendications 10 a 12, 
caracterise en ce qu'il comprend, en plus du ou des modules 
autonomes d'analyse d'un protocole de communication donne, 
un module autonome generique qui s'attache aux connexions 
pour lesquels le protocole n'a ete reconnu par aucun des autres 
dits modules autonomes. 

14. Dispositif selon I'une quelconque des revendications 9 a 13, 
caracterise en ce qu'il comporte une interface de renseignement 
des criteres definissant la politique de filtrage par I'utilisateur. 

15. Dispositif selon la revendication 14, caracterise en ce que ladite 
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interface recoit les criteres specifies en langage naturel par 
I'utilisateur. 

16. Dispositif selon la revendication 15, caracterise en ce que lesdits 
criteres specifies en iangage naturel comprennent au moins un 

5 nom de protocole. 

17. Dispositif selon Tune quelconque des revendications 14 a 16, 
caracterise en ce que ladite interface permet d'activer ou de 
desactiver chacun desdits modules autonomes. 

18. Dispositif selon I'une quelconque des revendications 9 a 17, 
o caracterise en ce qu'il comporte un moyen de traitement 

statistique des informations de connexion et un moyen de 
stockage desdites informations de connexion et informations 
traitees. 
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